Сейчас всё в мире как никогда взаимосвязано, а облачные и цифровые технологии позволяют компаниям из разных стран процветать и достигать успеха. Однако эта взаимосвязанность сопряжена с повышенным риском: партнеры, поставщики и третьи стороны могут раскрыть конфиденциальную информацию компании, а хакеры — атаковать организации через их цепочку поставок. Управление рисками атаки на цепочку поставок становится одним из важнейших компонентов стратегии кибербезопасности любой компании.
В этой статье мы рассмотрим угрозы атак на цепочку поставок, способы защиты и минимизации риска последствий для организаций из-за атаки на цепочку поставок.
Существуют общие риски, о которых нужно знать, в случае, если компания зависит от многих партнеров в цепочке поставок, но мы остановимся только на активных атаках, как произошло с корпорацией SolarWinds и ее клиентами — рядом крупнейших мировых компаний.
Атака на SolarWinds стала тревожным сигналом для многих организаций. Группа хакеров успешно проникла в систему SolarWinds, которая предоставляла инфраструктурные услуги более 80% компаний из списка Fortune 500, федеральным государственным учреждениям и сотням государственных образовательных организаций.
Злоумышленники скрывались в сетях организаций, эффективно предотвращая обнаружение и занимаясь кражей информации. Это показывает, как критически важные для организации третьи стороны могут стать уязвимым местом даже в успешных мировых компаниях. Сейчас как никогда раньше необходимо, чтобы цепочка поставок была включена в стратегию управления рисками.
Риски цепочки поставок
Управление рисками цепочки поставок — это гарантия того, что ваши поставщики не подвергнут вас каким-либо рискам, а также противодействие возможным угрозам, которые могут возникнуть, в случае если системы поставщиков будут атакованы, взломаны или подвергнуты воздействию другой угрозы или инцидента.
Существует множество угроз, с которыми может столкнуться цепочка поставок, и для обеспечения защиты и наличия надлежащих процедур смягчения последствий в наихудшем сценарии необходимо знать, что они собой представляют.
Риски поставщиков облачных услуг
Появление облачных хранилищ предоставило компаниям возможность пользоваться сторонними облачными услугами для организации работы многих бизнес-процессов — как критически важных, так и второстепенных. Это, например, системы управления контентом и соцсетями, хостинг баз данных и услуг.
Злоумышленники могут атаковать важнейших для компании поставщиков, зная, что таким образом они получат доступ к данным и/или системам большого числа компаний. Однако хакер может атаковать и менее важных поставщиков в расчете на то, что их инструменты безопасности будут более уязвимыми, и впоследствии он сможет получить доступ к вашим данным.
Риски открытого исходного кода
Поставщики ПО пользуются программами с открытым исходным кодом для предоставления своих услуг, что создает определенные риски. Открытый код таких программ является общедоступным, благодаря чему ими может с небольшими затратами пользоваться любой человек, имея при этом возможность менять исходный код.
Несмотря на то, что обычно это является преимуществом, которое повышает гибкость и улучшает качество обслуживания при низких вложениях, открытый код также позволяет злоумышленникам просматривать его и находить уязвимости, которые могут быть использованы для взлома.
Аппаратные (бэкдор-) риски
Не все риски являются цифровыми. Ваши камеры видеонаблюдения, принтеры или устройства беспроводного соединения (например, модемов и маршрутизаторов) также представляют собой риск. Оборудование почти всегда поставляется с цифровым или беспроводным компонентом, расширяя поверхность атаки на организацию.
Если эти аппаратные устройства имеют встроенные пароли, минимальный уровень безопасности или если используются пароли по умолчанию, возникает множество уязвимостей. Хакер, который хочет заполучить конфиденциальные данные или вторгнуться в вашу сеть через эти устройства, может легко проникнуть в систему.
Как организации могут снизить риски в цепочке поставок
Осознание рисков атаки на вашу цепочку поставок — это только первый шаг. Для эффективного управления рисками атаки на цепочку поставок необходимо использовать целостный и комплексный подход с учетом внутренних и внешних факторов.
Мониторинг своих угроз
Хакеры нацелены на атаку компаний для кражи их IP-адресов; они атакуют организации, которые сотрудничают с правительством, или взламывают систему безопасности, отключая сеть либо скачивая информацию, пока их не обнаружат. Злоумышленники могут пользоваться вышеперечисленными уязвимостями или факторами риска для атаки партнеров компаний.
Понимание профиля рисков цепочки поставок
Если будут взломаны системы такого поставщика, как например, WhatsApp, это повлияет на коммуникацию сотрудников в вашей организации, но вы по-прежнему сможете использовать другие формы связи. На ваши бизнес-услуги это не повлияет.
Однако если будет взломана платформа вашего поставщика облачных услуг, это может повлиять на работу вашего веб-сайта, конфиденциальность ваших данных и данных ваших клиентов, серьезно ухудшив качество предоставления услуг.
Успешные стратегии управления рисками атаки на цепочку поставок
Управление рисками атаки на цепочку поставок может оказаться сложным, особенно по сравнению с обеспечением безопасности собственных внутренних систем и сред. Это постоянный процесс, который должен быть неотъемлемой частью общего управления рисками и стратегии кибербезопасности. Ниже представлено несколько тактических рекомендаций по защите от атак на цепочку поставок.
Понимание экосистемы цепочки поставок
Недостаточная прозрачность цепочки поставок очень затрудняет управление рисками. Департаменту информационной безопасности необходимо получить от всех отделов компании полный список поставщиков, третьих лиц и партнеров. Затем определить тех поставщиков и партнеров, которые подвергают компанию наибольшему риску. Повлияет ли возможная атака на них на способность организации осуществлять свою основную деятельности или обслуживать клиентов? Приведет ли взлом их систем к утечке данных и угрозе безопасности сети?
Понимание важности таких поставщиков поможет подготовить правильный план реагирования на инциденты.
Ограничение доступа к сети и интеграции в вашей цепочке поставок
Многие хакеры и злоумышленники активно пытаются проникнуть в системы организаций через третьих лиц, надеясь ускользнуть от обнаружения и воспользоваться их слабой защищенностью. Однако если использовать сегментацию сети, ограничения доступа к сети третьих лиц и обеспечить им работу только с необходимыми данными, можно существенно сократить ущерб от потенциальных атак злоумышленников.
Мониторинг сети на предмет подозрительной активности
Невозможно предотвратить доступ к сети по всей цепочке поставок, поэтому используйте автоматизированные средства мониторинга и отслеживания. Если один из поставщиков цепочки поставок ведет себя нестандартно и, возможно, пытается получить доступ к конфиденциальным данным (к которым получать доступ не должен) или элементам сети, это может свидетельствовать о взломе.
Подготовка плана реагирования на инциденты для наиболее важных поставщиков цепочки поставок
Для поставщиков услуг и партнеров в цепочке поставок, имеющих крайне важное значение для бизнеса, необходимо спланировать наихудший сценарий развития событий и подготовиться к нему с помощью плана реагирования на инциденты. Представьте самый худший сценарий, когда крайне важный поставщик становится неработоспособным. Есть ли альтернативный поставщик или собственное решение? Как быстро вы сможете вернуться к нормальной работе, предотвратив при этом дальнейший ущерб?
При планировании таких сценариев приоритетным является скорейшее возвращение к нормальной работе, минимизация утечки данных и разработка стратегии коммуникации в случае огласки инцидента. Это гарантирует, что вы сможете вести свою деятельность без риска для собственных систем или сети, сохраняя при этом репутацию.
Подводя итоги
В идеале управление рисками цепочки поставок должно рассматриваться комплексно и являться частью общей системы управления рисками. Это позволит управлять рисками внутри компании и за ее пределами и даст ИБ-отделу возможность наилучшим образом справляться с рисками по мере роста компании и привлечения новых поставщиков.